Vulnerabilidade no Protocolo SSLv3 (POODLE)

larger-14-Hack-POODLE-SSLv3-1

Protocolo SSLv3
O protocolo SSLv3 foi lançado em 1996, ele foi o único e bem-sucedido de sua família, uma vez que a versão 1 não chegou a ser lançado por terem sido detectados problemas de vulnerabilidade antes de seu lançamento e a versão 2 não durou nem um ano em produção, devido a instabilidades foi rapidamente substituída pela versão 3.
 
Problema
Na última semana após 18 anos de uso foi detectada uma vulnerabilidade grave, tal vulnerabilidade possui o nome de Poodle (Padding Oracle On Downgraded Legacy Encryption), e nela é possível que o tráfego entre o cliente e o servidor seja interceptado, captando os coockies do cliente e revelando dados que deveriam estar trafegando de forma segura.
Para saber se seu site está vulnerável a esse ataque basta efetuar uma consulta no endereço:

Solução
A forma de se livrar deste problema é desativando o suporte a esse protocolo nos servidores onde estão configurados o uso de conexões seguras por HTTPs, desativando o suporte aos protocolos SSL e mantendo ou acrescentando o suporte aos protocolos TSL.

Desativar no NGINX:
Para desativar o SSLv3 no Nginx basta tirá-lo da configuração ssl_protocols.
Entre no arquivo de configuração onde está configurado o seu portal seguro (https) e o seu certificado de segurança, procure e modifique a linha ssl_protocols, caso ela não exista acrescente logo abaixo de ssl on da seguinte forma:
ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
Após isso recarregue as configurações do nginx:
/etc/init.d/nginx reload

Desativar no Apache:
Para desativar o SSLv3 de um servidor Apache, é necessário ir na configuração do SSL (ssl.conf) e explicitar que serão removidos o suporte aos certificados SSLv2 e SSLv3:
Arquivo ssl.conf em distribuições Debian/Ubuntu:
/etc/apache2/mods-available/ssl.conf
Arquivo ssl.conf em distribuições RHEL/CentOS/Fedora:
/etc/httpd/conf.d/ssl.conf
Localize a linha SSLProtocol, caso não exista acrescente com as informações abaixo:
SSLProtocol All -SSLv2 -SSLv3
Cheque se as configurações estão corretas:
apachectl configtest
Reaplique as configurações do Apache:
Distribuições Debian/Ubuntu
/etc/init.d/apache2 reload
Distribuições RHEL/CentOS/Fedora
/etc/init.d/httpd reload

Desativar no Elastic Load Balancer:
  • Entre no Load Balancer onde está instalado o seu certificado.
  • Clique na aba Listeners.
  • Na opção Cipher clique em Change.
  • Marque a Opção Custom Policy
  • Desmarque: Protocol-SSLv2 e Protocol-SSLv3
  • Habilite: Protocol-TLSv1Protocol-TLSv1.1Protocol-TLSv1.2
  • Clique em Save.
Orientações a usuários finais:
Você como usuário final também precisa se prevenir para não utilizar esse protocolo, para isso mantenha seus navegadores sempre atualizados, pois nas próximas versões o suporte a esse protocolo será definitivamente sepultado, caso você utilize o Windows e tenha preferência por utilizar o Internet Explorer, opte sempre pela ultima versão do mesmo e certifique de que todos os pacotes de segurança do Windows foram instalados pelo Windows Update.
21